Skype for business/Lync之認證解析（三）：關於認證伺服器的遷移

標籤：認證遷移

Skype for business/Lync之認證解析（三）：關於認證伺服器的遷移

• 為什麼要遷移認證伺服器？

通常是認證相關的伺服器要進行系統升級，比如原來認證服務與DC共存於一台伺服器，現在DC要升級到新的版本，這個時候需要把認證服務遷移到其他伺服器，此時建議把認證服務遷移到一台獨立的認證服務專用的虛擬機器中，不再與DC共存。

• 如何遷移？

最權威的步驟當然是按照微軟官方指南：https://technet.microsoft.com/zh-cn/library/ee126170(v=ws.10).aspx。不過，步驟太多，可能看得你暈頭轉向，實際上每個企業環境不同，不一定非要根據這個指南完成所有步驟，微軟這個指南是適合所有情境，在大多數情況下，是可以大大簡化下面的步驟的，可以簡化到只要紅框中的幾步，所花時間也就10分鐘左右。

650) this.width=650;" height="357" title="clip_image001" style="border:0px;" alt="clip_image001" src="http://s3.51cto.com/wyfs02/M00/71/68/wKiom1XNxIPTM5AAAAEYJA7bZiU389.jpg" border="0" />

下面對上面一些重要的紅框做些說明，關於具體操作請參見微軟文檔，此不贅述。

先說第一個紅框：備份CA資料庫和私密金鑰：

為什麼要備份CA的私密金鑰，這樣保證遷移後根憑證不會變，如果根憑證變了，想想很多終端要重新匯入根憑證，遷移就沒有意義了。

為什麼要備份CA資料庫，其實不備CA資料庫問題不大，不像私密金鑰那麼重要，但有一個問題，比如有個郵件認證要到期了，需要續訂，那如果不恢複備份，憑證授權單位裡面沒有記錄肯定是續訂不了的，所以備份還是要恢複，只是註冊表就不用恢複了。

是備份的結果：

650) this.width=650;" height="121" title="clip_image002" style="border:0px;" alt="clip_image002" src="http://s3.51cto.com/wyfs02/M01/71/68/wKiom1XNxITjctZjAACmbAZC2i0894.jpg" border="0" />

另外注意就是在新伺服器上部署認證服務時，要選擇使用現有私密金鑰，如，以便讓上面的備份生效。

650) this.width=650;" height="561" title="clip_image003" style="border:0px;" alt="clip_image003" src="http://s3.51cto.com/wyfs02/M02/71/68/wKiom1XNxIXAwz_HAAJUVT3cq5s698.jpg" border="0" />

650) this.width=650;" height="553" title="clip_image004" style="border:0px;" alt="clip_image004" src="http://s3.51cto.com/wyfs02/M00/71/68/wKiom1XNxIbjFG64AAIbu5pjgqM889.jpg" border="0" />

本文出自 “火線科技兄弟夥的部落格” 部落格，請務必保留此出處http://huoxian.blog.51cto.com/9437529/1684758

Skype for business/Lync之認證解析（三）：關於認證伺服器的遷移